Troubleshooting Windows Domain Logon

Problem:

Die Benutzernanmeldung an einem Windows-Client funktioniert nicht.

Lösung:

Probleme beim Windows-Logon können unterschiedliche Ursachen haben:

1. Falsche DNS Konfiguration / DNS Einträge

Der Windows Client sollte einen UCS Domänencontroller als DNS Server verwenden. In dem DNS Record der Domäne und in den DNS SRV Records sollten keine Server definiert sein, die nicht mehr existieren oder derzeit aus sind. Dies kann folgendermaßen überprüft werden:

host $(dnsdomainname)
host -al $(dnsdomainname) | grep " SRV "

2. Falsche Zeiteinstellung am Windows-Client

Auf Windows-Client sollte die gleiche Uhrzeit wie auf den UCS Domänencontrollern eingestellt sein. Dabei sollte auch auf die Zeitzone geachtet werden. (Beim Join in eine AD-kompatible Domäne konfigurieren Windows-Clients standardmäßig ihren lokalen Zeit-Service (w32time) so, dass die Zeit per NTP von einem der Domänencontroller bezogen wird. Als lokaler Windows-Administrator kann am Windows-Client die Ausgabe folgender Befehle geprüft werden:

w32tm /resync /rediscover

Dabei sollte es keine Fehlermeldung geben und die Systemzeit sollte auf die Zeit der AD-kompatiblen Domäne gesetzt werden.

Das folgende Kommando sollte den vollständigen DNS-Namen eines Samba 4/AD-Domänencontrollers zurückliefern:

w32tm /query /source

Falls das nicht der Fall ist, kann mit folgenden vier Befehlen der Zeitservice des Windows-Clients auf die AD-Domäne konfiguriert werden:

w32tm /config /syncfromflags:domhier /update
net stop w32time
net start w32time
w32tm /resync /rediscover

Sollten diese Punkte nicht erfolgreich sein, so kann der Debug Level des Samba Dienstes erhöht werden und die Logausgabe kann auf weitere Fehler geprüft werden:

ucr set samba/debug/level=4
/etc/init.d/samba4 restart
less /var/log/samba/log.samba
Mastodon